Um trojan de acesso remoto chamado SleepyDuck foi identificado disfarçado como uma popular extensão Solidity no repositório open-source Open VSX.
O diferencial desse malware é o uso de um smart contract da Ethereum para estabelecer um canal de comunicação com o invasor.
O Open VSX é um repositório mantido pela comunidade que reúne extensões compatíveis com o VS Code, amplamente utilizadas em ambientes de desenvolvimento integrados (IDEs) com suporte a inteligência artificial, como Cursor e Windsurf.
A extensão maliciosa ainda está disponível no Open VSX sob o nome ‘juan-bianco.solidity-vlang’, acompanhada de um aviso da plataforma, e já acumula mais de 53 mil downloads.
Quando submetida inicialmente, em 31 de outubro, a extensão era inofensiva.
No entanto, no dia seguinte, uma atualização adicionou funcionalidades maliciosas, quando já havia alcançado 14 mil downloads.
De acordo com relatório da plataforma de segurança de extensões Secure Annex, uma característica notável do SleepyDuck é a utilização de contratos Ethereum para atualizar o endereço do servidor de comando e controle (C2) e garantir persistência a longo prazo.
Isso significa que, mesmo que o servidor padrão de C2 em sleepyduck[.]xyz seja derrubado, o malware continua funcional graças às informações salvas na blockchain da Ethereum.
Desde a versão 0.0.7, lançada originalmente no Open VSX, até a 0.1.3, publicada em 2 de novembro, o pacote ‘juan-bianco.solidity-vlang’ já foi baixado 53.439 vezes e recebeu apenas uma avaliação cinco estrelas — feita pelo próprio autor.
O código malicioso é ativado ao iniciar o editor, abrir um arquivo Solidity ou executar o comando de compilação da linguagem.
No momento da ativação, o malware cria um arquivo de bloqueio para garantir que opere apenas uma vez por máquina e chama uma função falsa, ‘webpack.init()’, no arquivo ‘extension.js’, simulando um comportamento legítimo.
Na prática, essa função carrega a payload maliciosa.
Segundo a Secure Annex, o componente malicioso coleta informações do sistema, como hostname, nome do usuário, endereço MAC e fuso horário, criando um ambiente para execução de comandos remotos.
Os pesquisadores explicam que, ao iniciar, o malware busca o provedor Ethereum RPC mais rápido para ler o smart contract que contém as informações do servidor C2.
Em seguida, inicia uma instância do SleepyDuck, atualiza sua configuração com dados válidos e inicia um ciclo de polling.
O uso da blockchain Ethereum garante redundância no comando e controle: caso o servidor principal fique fora do ar, o malware obtém novas instruções diretamente da blockchain, como um endereço atualizado do servidor C2 ou alterações nos intervalos de comunicação.
Além disso, o polling envia dados do sistema por meio de requisições POST e verifica na resposta se há comandos a serem executados.
O crescimento da popularidade do Open VSX chamou a atenção de hackers, que têm submetido diversas extensões maliciosas na tentativa de atingir desenvolvedores desavisados.
Em resposta, a plataforma anunciou uma série de melhorias de segurança, incluindo redução no tempo de validade de tokens, revogação rápida de credenciais vazadas, varreduras automatizadas e compartilhamento de informações sobre ameaças emergentes com o VS Code.
Desenvolvedores de software devem redobrar a atenção ao baixar extensões para VS Code, confiando apenas em editores conhecidos e repositórios oficiais para evitar riscos à segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...